Konfigurieren von des Azure VPN-Client – Microsoft Entra ID-Authentifizierung – macOS

Dieser Artikel hilft Ihnen, Ihren macOS-Clientcomputer so zu konfigurieren, dass eine Verbindung mit einem virtuellen Azure-Netzwerk mithilfe einer P2S-Verbindung (VPN Gateway Point-to-Site) hergestellt wird. Diese Schritte gelten für Azure VPN-Gateways, die für die Microsoft Entra ID-Authentifizierung konfiguriert sind. Die Microsoft Entra ID-Authentifizierung wird lediglich für Verbindungen mit dem OpenVPN®-Protokoll unterstützt und erfordert den Azure VPN-Client. Der Azure-VPN-Client für macOS ist aufgrund lokaler Vorschriften und Anforderungen derzeit in Frankreich und China nicht verfügbar.

Voraussetzungen

Stellen Sie vor dem Ausführen der Schritte in diesem Artikel sicher, dass Sie die folgenden Voraussetzungen erfüllt sind:

  • Überprüfen Sie, ob auf dem Clientcomputer ein unterstütztes Betriebssystem auf einem unterstützten Prozessor ausgeführt wird.

    • Unterstützte macOS-Versionen: 15 (Sequoia), 14 (Sonoma), 13 (Ventura), 12 (Monterey)
    • Unterstützte Prozessoren: x64, Arm64
  • Wenn Ihr Gerät einen Chip der M-Serie und einen VPN-Clientrelease vor 2.7.101 aufweist, müssen Sie Rosetta-Software installieren. Weitere Informationen finden Sie im Apple-Supportartikel

  • Wenn Sie die Azure VPN-Clientversion 2.7.101 oder höher verwenden, müssen Sie keine Rosetta-Software installieren.

Workflow

In diesem Artikel werden die Schritte für das Konfigurieren eines P2S-VPN-Gateways für die Microsoft Entra ID-Authentifizierung fortgesetzt. Dieser Artikel hilft Ihnen bei Folgendem:

  1. Laden Sie den Azure VPN-Client für macOS herunter und installieren Sie es.
  2. Extrahieren von Profilkonfigurationsdateien für den VPN-Client.
  3. Importieren Sie die Clientprofileinstellungen in den VPN-Client.
  4. Erstellen Sie eine Verbindung und stellen Sie eine Verbindung mit Azure her.

Azure VPN Client herunterladen

  1. Laden Sie den neusten Azure VPN Client aus dem Apple Store herunter.
  2. Installieren Sie den Client auf Ihrem Computer.

Extrahieren von Profilkonfigurationsdateien für den VPN-Client

Wenn Sie die P2S-Serverkonfigurationsschritte wie im Abschnitt Voraussetzungen erwähnt verwendet haben, haben Sie bereits das VPN-Clientprofilkonfigurationspaket generiert und heruntergeladen, das die VPN-Profilkonfigurationsdateien enthält. Wenn Sie Konfigurationsdateien generieren müssen, lesen Sie Herunterladen des VPN-Clientprofilkonfigurationspakets.

Wenn Sie ein VPN-Clientprofilkonfigurationspaket generieren und herunterladen, sind alle erforderlichen Konfigurationseinstellungen für VPN-Clients in einer ZIP-Datei für die VPN-Clientprofilkonfiguration enthalten. Die Konfigurationsdateien für VPN-Clientprofile gelten speziell für die P2S-VPN-Gatewaykonfiguration für das virtuelle Netzwerk. Wenn nach dem Generieren der Dateien Änderungen an der P2S-VPN-Konfiguration vorgenommen werden, z. B. Änderungen am VPN-Protokolltyp oder am Authentifizierungstyp, müssen Sie neue Konfigurationsdateien für die VPN-Clientprofile generieren und die neue Konfiguration auf alle VPN-Clients anwenden, die Sie verbinden möchten.

Suchen und entpacken Sie das Konfigurationspaket für das VPN-Clientprofil, das Sie generiert und heruntergeladen haben (in den Voraussetzungen aufgelistet). Öffnen Sie den Ordner AzureVPN. In diesem Ordner sehen Sie entweder die Datei azurevpnconfig_aad.xml oder die Datei azurevpnconfig.xml, je nachdem, ob Ihre P2S-Konfiguration mehrere Authentifizierungstypen enthält. Die XML-Datei enthält die Einstellungen, die Sie zum Konfigurieren des VPN-Clientprofils verwenden.

Generieren von Profilkonfigurationsdateien

Wenn Ihre P2S-Konfiguration eine benutzerdefinierte Zielgruppe mit Ihrer von Microsoft registrierten App-ID verwendet, erhalten Sie möglicherweise jedes Mal Popups, wenn Sie eine Verbindung herstellen, bei der Sie Ihre Anmeldeinformationen erneut eingeben und die Authentifizierung abschließen müssen. Das Wiederholen der Authentifizierung behebt das Problem in der Regel. Dies geschieht, da das VPN-Clientprofil sowohl die benutzerdefinierte Zielgruppen-ID als auch die Microsoft-Anwendungs-ID benötigt. Um dies zu verhindern, ändern Sie Ihre die XML-Datei Ihrer Profilkonfiguration, um sowohl die benutzerdefinierte Anwendungs-ID als auch die Microsoft-Anwendungs-ID einzuschließen.

Hinweis

Dieser Schritt ist für P2S-Gatewaykonfigurationen erforderlich, die einen benutzerdefinierten Zielgruppenwert verwenden, und wenn Ihre registrierte App der von Microsoft registrierten Azure VPN Client-App-ID zugeordnet ist. Wenn dies für Ihre P2S-Gatewaykonfiguration nicht zutrifft, können Sie diesen Schritt überspringen.

  1. Um die XML-Datei der Azure VPN Client-Konfiguration zu ändern, öffnen Sie die Datei mit einem Texteditor wie dem Windows-Editor.

  2. Fügen Sie als Nächstes den Wert für applicationid hinzu, und speichern Sie Ihre Änderungen. Das folgende Beispiel zeigt den Anwendungs-ID-Wert für c632b3df-fb67-4d84-bdcf-b95ad541b5c8.

    Beispiel

    <aad>
       <audience>{customAudienceID}</audience>
       <issuer>https://sts.windows.net/{tenant ID value}/</issuer>
       <tenant>https://login.microsoftonline.com/{tenant ID value}/</tenant>
       <applicationid>c632b3df-fb67-4d84-bdcf-b95ad541b5c8</applicationid> 
    </aad>
    

Importieren von Profilkonfigurationsdateien für den VPN-Client

Hinweis

Wir sind dabei, die Azure VPN Client-Felder für Azure Active Directory in Microsoft Entra ID zu ändern. Wenn in diesem Artikel auf Microsoft Entra ID-Felder verwiesen wird und diese Werte aber noch nicht im Client angezeigt werden, wählen Sie die vergleichbaren Azure Active Directory-Werte aus.

  1. Wählen Sie auf der Azure VPN Client-Seite die Option zum Importieren aus.

  2. Navigieren Sie zu dem Ordner, der die zu importierende Datei enthält, wählen Sie ihn aus, und klicken Sie dann auf Öffnen.

  3. Beachten Sie auf diesem Bildschirm, dass die Verbindungswerte mit den Werten in der importierten VPN-Clientkonfigurationsdatei aufgefüllt werden.

    • Stellen Sie sicher, dass der Wert Zertifikatinformationen DigiCert Global Root G2 anstelle der Standard- oder Leerzeichen angezeigt wird. Passen Sie den Wert bei Bedarf an.
    • Beachten Sie, dass die Clientauthentifizierungswerte mit den Werten übereinstimmen, die zum Konfigurieren des VPN-Gateways für die Microsoft Entra ID-Authentifizierung verwendet wurden. Der Zielgruppenwert in diesem Beispiel entspricht der von Microsoft registrierten App-ID für Azure Public. Wenn Ihr P2S-Gateway für einen anderen Zielgruppenwert konfiguriert ist, muss dieses Feld diesen Wert widerspiegeln.

    Screenshot: Azure VPN Client speichert importierte Profileinstellungen

  4. Klicken Sie auf Speichern, um die Verbindungsprofilkonfiguration zu speichern.

  5. Wählen Sie im Bereich der VPN-Verbindungen das von Ihnen gespeicherte Verbindungsprofil aus. Klicken Sie dann auf Verbinden.

  6. Sobald die Verbindung hergestellt wurde, ändert sich der Status in Verbunden. Um die Verbindung mit der Sitzung zu trennen, klicken Sie auf Trennen.

Manuelles Erstellen einer Verbindung

  1. Öffnen Sie Azure VPN Client. Wählen Sie unten im Client Hinzufügen aus, um eine neue Verbindung zu erstellen.

  2. Auf der Seite Azure VPN Client können Sie die Profileinstellungen konfigurieren. Ändern Sie den Wert für die Zertifikatsinformationen so, dass DigiCert Global Root G2 anstelle des Standardwerts oder eines leeren Werts angezeigt wird, und klicken Sie dann auf Speichern.

    Konfigurieren Sie die folgenden Einstellungen:

    • Name der Verbindung: Der Name, mit dem Sie auf das Verbindungsprofil verweisen möchten.
    • VPN-Server: Dies ist der Name, den Sie verwenden möchten, um auf den Server zu verweisen. Beim Name, den Sie hier auswählen, muss es sich nicht um den offiziellen Namen eines Servers handeln.
    • Servervalidierung
      • Zertifikatinformationen: DigiCert Global Root G2
      • Servergeheimnis: Das Servergeheimnis.
    • Clientauthentifizierung
      • Authentifizierungstyp: Microsoft Entra ID
      • Mandant: Der Name des Mandanten.
      • Zielgruppe: Der Zielgruppenwert muss mit dem Wert übereinstimmen, den Ihr P2S-Gateway für die Verwendung konfiguriert hat.
      • Aussteller: Der Name des Ausstellers.
  3. Klicken Sie nach dem Ausfüllen der Felder auf Speichern.

  4. Wählen Sie im Bereich der VPN-Verbindungen das von Ihnen konfigurierte Verbindungsprofil aus. Klicken Sie dann auf Verbinden.

Entfernen eines VPN-Verbindungsprofils

Sie können das VPN-Verbindungsprofil von Ihrem Computer entfernen.

  1. Öffnen Sie Azure VPN Client.
  2. Wählen Sie die VPN-Verbindung aus, die Sie entfernen möchten, und klicken Sie dann auf Entfernen.

Optionale Azure VPN Client-Konfigurationseinstellungen

Sie können Azure VPN Client mit optionalen Konfigurationseinstellungen wie zusätzlichen DNS-Servern, benutzerdefiniertem DNS, erzwungenem Tunneln, benutzerdefinierten Routen und anderen zusätzlichen Einstellungen konfigurieren. Eine Beschreibung der verfügbaren optionalen Einstellungen und Konfigurationsschritte finden Sie unter Optionale Azure VPN Client-Einstellungen.

Nächste Schritte

Weitere Informationen finden Sie unter Konfigurieren des P2S VPN Gateway für die Microsoft Entra ID-Authentifizierung.